我的問題是我無法使用 Nxlog 收集 ADDS 或 DNS 事件並將它們傳送到 ELK 伺服器。在 DC 和 DNS 伺服器的 Nxlog 設定中,我有以下查詢
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
設定檔無需 Active Directory 和 DNS 路徑即可正常運作。所需的安全性和系統日誌正確地傳送到 ELK。我也嘗試過在設定檔中只保留 ADDS 或 DNS 路徑,但沒有成功。我認為我的配置中沒有正確的 ADDS 和 DNS 路徑,這就是我的問題。我的 Google-fu 和 Bing-fu 尚未找到任何結果,為我提供 ADDS 和 DNS 事件的事件 ID 通道。我只找到了應用程式、安全性、系統和設定的事件 ID 通道。有什麼建議麼?我什麼都願意!
DC\DNS 伺服器和 ELK 伺服器在 Windows Server 2012 上運作。
答案1
我找到了答案。在 DC\DNS 伺服器上的事件檢視器中,以滑鼠右鍵按一下事件 ID 頻道,例如“目錄服務”,選擇“篩選目前日誌”。這樣做將打開“過濾當前日誌”視窗。按一下 XML 標籤即可尋找查詢清單資訊!
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
我已經驗證這適用於目錄服務和 DNS。我插入了選擇路徑並在 Nxlog 設定檔中添加了反斜線。